アカウント名:
パスワード:
そのような証明書で一体何を「証明」するというのか、またその「証明」する内容が果たして一般の利用者の「安全」に寄与しているのかと思うと甚だ疑問です。
暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
実在性を認証していない証明書が警告も表示されずに受け入れられてしまうというのは、ドメインスクワッティングと組み合わせる事で、SSLで暗号化された中間者攻撃を容易に実現できるものです。
ドメインを間違いなく確認する手だてがあればいい話。例えばパスワードマネージャとか。 逆に、実在証明があったところで利用者が何も確認しないんじゃ何も解決しない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
サーバ証明書? (スコア:-1, 荒らし)
Re: (スコア:3, 興味深い)
いずれの技術も、巧みなマーケティングと情報操作によって
「必要不可欠なもの」の座を見事に勝ち取った。
必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め、
一部の企業が莫大な利益を上げている。
たちが悪いのは、「一般的な安全性」のハードルを上げることに成功しているため、
「導入せずとも安全だ」との角度から攻めても絶対に論破できないからである。
現実世界に例えれば、空き巣の被害にあった家庭に対して、
誰もが「セコムしてなきゃ当然だ。」と思うようになってしまったようなもの。
# オフトピであることには変わりないですが・・・
Re: (スコア:0)
これはどうかと思います。
情報セキュリティ絡みの仕事をしていますが、実際問題、まだまだ全然、
この手の仕事ができる人や企業は少なすぎると思います。
「被害にあったのでどうにかしたい」という人は、増える一方で減る気配すらありません。
正直な所、業界は正直なデータを出してるにも関わらず、一般の人(もちろん
大半は被害を受けた事が無い、しかし母数が圧倒的に大きい)からは、それでも
「狼少年」扱いされている、というのが現状です。
一般の人からすれば交通事故に当たる程度の確率かもしれませんが、
病院が圧倒的に少ない、という状況でしょうか。
Re: (スコア:0)
> 「狼少年」扱いされている、というのが現状
データは正直でも、導入・運営ノウハウまで売り物にしちゃうと、うさん臭く思われるのは仕方がないと思う。ノウハウが売れるというのは、内容が一般的に知られていないわけで。ブラックボックスの値段が正当かどうかというのは判断しにくいから。ドメイン取るぐらいの気軽さになれば、解消されるんじゃないですか。
Re:サーバ証明書? (スコア:1)
ただしドメインを取る位の安全性しか担保されていませんから、Whoisに書かれた内容が信頼できるか否かという程度の安全性でしか有りません。
安全はタダでは有りません。当然ですね。
ちなみに、そのような証明書で一体何を「証明」するというのか、またその「証明」する内容が果たして一般の利用者の「安全」に寄与しているのかと思うと甚だ疑問です。
実在性を認証していない証明書が警告も表示されずに受け入れられてしまうというのは、ドメインスクワッティングと組み合わせる事で、SSLで暗号化された中間者攻撃を容易に実現できるものです。証明書を取得する「費用」だけが攻撃者がその方法を取らない唯一の理由であり、攻撃者が期待する「利益」がその「費用」より大きいのなら、そのような証明書の存在は利用者の「安全」に寄与するどころか、むしろ「危険」に曝しているに過ぎないと思います。
Re: (スコア:0)
暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
ドメインを間違いなく確認する手だてがあればいい話。例えばパスワードマネージャとか。
逆に、実在証明があったところで利用者が何も確認しないんじゃ何も解決しない。
Re:サーバ証明書? (スコア:1)
> 暗号化通信を実現しているじゃない。そのドメインの所有者との暗号化通信をしていることが証明される。それがSSLの基本機能でしょうが。
いいえ、それは違います。
まず一般に実在性を認証したサーバ証明書の発行対象はドメイン所有者では「ありません」。そのドメインを利用したWebサイトの運営主体となっている個人や団体です。
つまりexample.jpのドメイン登録者がnisigutiで、example.jpのドメイン名を使って/.Jが運営されているとすると、そのサーバ証明書の発行対象は/.Jであってnisigutiでは有りません。
またドメインの到達性を認証したサーバ証明書の発行対象もドメイン所有者では「ありません」。あくまでもその「ドメイン」であって、実際にはWhoisに登録者として記載された人物とは別の人かも知れません。Whois情報に正しい情報を記載するのはあくまでも紳士協定的な物であって、実在性確認をした証明書とは、信頼度は全く異なるものです。
Re: (スコア:0)
それすら証明できなくなるんですよ、
ドメインの所有者かどうかも確認せずに証明書が発行されるようじゃ。
これはフィッシングサイトに対して正規に発行される証明書よりも、ずっと深刻な問題ですよ。
Re: (スコア:0)
いや、だから、今回のは事件なんでしょ。あってはならないことが起きた。
あるべき仕様の話と、起きてしまった事故の話の区別くらいしようよ。
Re:サーバ証明書? (スコア:1)
> あるべき仕様の話と、起きてしまった事故の話の区別くらいしようよ。
どうも議論が噛み合いませんね。
話の流れを見て頂ければ判ると思いますが、私の(#1481674 [srad.jp])は、その話とは直接繋がった話では有りません。
一部認証局がマッチポンプの如く不安を煽り不必要な証明書を販売しているのが実情である(#1481316 [srad.jp])という主張がなされ、その流れでそのような「胡散臭さ」は
> ドメイン取るぐらいの気軽さになれば、解消されるんじゃないですか。(#1481641 [srad.jp])
というような主張がなされたので、私はそのような気軽さで発行されるような証明書では、実際に安全を担保する事など不可能であるという反論をしています。
ドメインを取る位の気軽さで発行される証明書では、実在性を確認するような人の手を介さなければならない手間隙を掛ける事は、時間的にも経済的にも不可能です。根拠の無い「胡散臭さ」を解消するために、実在性を確認しない証明書を発行するというのは、本末転倒としか思えません。
例えばドメインを取る位の気軽さでwww.example.jpという証明書が発行されたとして、そのexample.jpというドメインの登録者がexample.comのドメイン登録者と同じだとしたら、その証明書を受け取った人はexample.jpとexample.comの同一性にはあまり疑いを持たないでしょう。
しかしexample.jpのWhoisに記載されている情報には嘘や偽りが含まれていないという保証はどこにも無いのです。example.comを攻撃目標とした攻撃者がexample.jpを取得しているかも知れない訳で、example.jpがexample.comの中間者攻撃に用いられているとしても、それをどうやって判断できるのですか?
今回の問題は、www.mozilla.comというサーバ用の証明書が、そのドメインの持ち主でない人に対して何の認証もされないまま発行されたという事です。(そういう話ですよね)
ですから、www.mozilla.comにアクセスした時に何の警告も表示されずにwww.mozilla.comの証明書を受け取ったとしても、利用者の名前解決に細工がされていれば、それはwww.mozilla.comに見せかけた攻撃者のサイトであるかも知れない、そして利用者が注意深くともそれを見破る事ができないという問題です。
私が意図している事は、ドメイン名の不正取得を利用した話であり、今回の件は不十分な認証で証明書が発行されたという事ですから、確かに両者は同じでは有りません。また前者は注意深く見れば「怪しさ」に気付くかも知れませんが、後者は注意深く見ても「怪しさ」に気付く事は難しいという違いは有るでしょう。
しかし殆どの利用者にとって、どちらも「難しくて判らない」という事に違いは無いのですから、一般の利用者に対する危険性は何ら変わりないと思います。むしろ前者は後者のように証明書が失効される事は無いのですから、前者の方が容易に実現できる上に後者より被害が大きくなる可能性も秘めていると思います。